Компания Google решила ввести на своем домене google.com поддержку HTTP Strict Transport Security (HSTS), тем самым добавив дополнительный уровень защиты, призванный запретить использование менее надежных HTTP-соединений.

При включенном HSTS посетители сайта, переходящие по HTTP-ссылкам на google.com, будут автоматически перенаправлены на более безопасную HTTPS-версию домена. Представители компании объявили о внедрении этого механизма защиты в прошлую пятницу. Он позволяет защитить от downgrade-атак, перехвата сессий и MitM-атак.

«HSTS не позволит посетителям случайно перейти по HTTP-ссылкам, поскольку они будут автоматически конвертированы в защищенные HTTPS-ссылки. Для того чтобы ими воспользоваться, пользователям понадобится вручную набрать ссылку на нужную страницу в адресной строке браузера или же перейти по HTTP-ссылке, расположенной на стороннем веб-сайте», — пишет Джей Браун (Jay Brown) в блоге компании.

Механизм HSTS гарантирует, что браузер будет использовать HTTPS-соединения, если таковые имеются. Если у сайта нет HTTPS-версии, будет использована менее безопасная HTTP-версия.

Внедрение HSTS затронет не только трафик, проходящий через поисковую систему Google, но и трафик, направляемый к другим сервисам компании, использующим домен google.com, таким как Alerts, Analytics и Maps. Google уже внедрила поддержку механизма HSTS на принадлежащем ей сервисе YouTube.

Компания является ярым сторонником использования HTTPS и под эгидой инициативы HTTPS everywhere, о которой ее представители заявили в 2014 году на Google I/O, ввела поддержку этого механизма на большей части принадлежащих ей ресурсов. Многие представители ИБ-индустрии, в особенности Фонд электронных рубежей (Electronic Frontier Foundation), призывают расширить использование HSTS.

«Если HSTS не используется, то браузер не сможет узнать, что конкретный сайт должен быть представлен в безопасном виде, а значит, и не сможет предупредить вас о том, что этот сайт (например, веб-сайт вашего банка), который должен быть загружен при помощи надежного соединения, будет загружен при помощи обычного соединения (к примеру, незашифрованной версии, которую вам направил злоумышленник)», — пишет Джереми Джиллула (Jeremy Gillula), старший технолог из EFF. Данную проблему как раз и призван решить механизм HSTS, который принуждает сервер отравлять браузерам запрос на загрузку ими зашифрованной версии веб-страницы.

Хотя политика безопасности, основанная на использовании HSTS, была озвучена представителями Инженерного совета Интернета (Internet Engineering Task Force) еще в 2012 году, ушли годы на то, чтобы заручиться поддержкой крупнейших веб-сайтов и разработчиков браузеров, а также устранить изъяны в ее реализации. На сегодняшний день HSTS поддерживают такие браузеры, как Chrome, Safari, Firefox, Edge и IE 11. Однако переход на HSTS далеко не так прост — многие домены Google и ряд независимых сайтов пока еще не могут реализовать поддержку этого механизма, и виной тому использование смешанного контента, плохих гиперссылок и редиректов на HTTP.

По заявлениям представителей Google, именно неполноценная реализация HSTS привела к сбою в работе популярного веб-сайта Santa Tracker перед Рождеством 2015 года.

«Хотя мы и реализовали поддержку HSTS на домене google.com, нам еще многое предстоит сделать, — пишет Браун. — В обозримом будущем мы планируем увеличить время активности заголовка (max-age). Изначально этот параметр равен одним суткам, так как это позволяет снизить риск возникновения проблем с данной реализацией HSTS».

Однако период активности может быть гораздо длиннее (вплоть до года) в других реализациях HSTS. ИБ-эксперт, создатель сервиса «Have I Been Pwned?» и автор из Pluralsight пишет об HSTS следующее:

«Когда ответный заголовок возвращается сайтом, браузер ни при каких условиях не будет осуществлять попыток установить HTTP-соединение, а вместо этого выдаст сообщение об ошибке перенаправления (307). И он будет так делать до тех пор, пока не пройдет определенное количество секунд, указанное в параметре max-age (значение 315… — это количество секунд в одном году), после чего браузеру будет разрешено попробовать установить незащищенное соединение. Это будет продолжаться до тех пор, пока не будет получен новый ответный заголовок».

Категории: Кибероборона